X d'Elon Musk déploie une fonctionnalité de sécurité qui verrouillera automatiquement tout compte mentionnant une cryptomonnaie pour la première fois — nécessitant une vérification supplémentaire avant de reprendre les publications — une réponse directe à une vague de campagnes de détournement de comptes exploitant la confiance sociale pour promouvoir des jetons frauduleux.

Le verrouillage automatique se déclenche lors de la toute première publication liée aux cryptomonnaies d'un compte. Une fois déclenché, le compte est verrouillé et l'utilisateur doit effectuer une vérification avant de retrouver l'accès. Bier l'a décrit comme ciblant le vecteur d'attaque principal : les pirates obtiennent l'accès au compte via des e-mails d'hameçonnage, verrouillent le propriétaire d'origine et utilisent la confiance établie des abonnés du compte pour promouvoir des jetons frauduleux, de faux cadeaux et des memecoins.

La Fonctionnalité

« Cela devrait tuer 99 % de l'incitation », a écrit Bier en réponse au récit d'un utilisateur sur la façon dont il a perdu le contrôle de son profil à cause d'une attaque d'hameçonnage déguisée en avis de violation de droits d'auteur. L'attaquant avait utilisé une fausse page de connexion parfaitement reproduite pour collecter les identifiants de l'utilisateur et les codes d'authentification à deux facteurs avant de le verrouiller et de commencer la promotion de fraudes.

Ce que Cela Cible

Le détournement de comptes lié aux cryptos sur X est un problème documenté et persistant depuis l'époque où la plateforme s'appelait Twitter. Le verrouillage automatique s'appuie sur les efforts antérieurs de la plateforme pour éliminer les campagnes de spam par mention et les comportements de comptes coordonnés utilisés dans les promotions crypto. Les utilisateurs de longue date qui n'ont jamais publié sur les cryptomonnaies devront passer par une vérification lors de leur première publication de ce type, tandis que les comptes légitimes, a indiqué Bier, peuvent retrouver l'accès rapidement grâce au processus.

Bier a également critiqué publiquement Google pour avoir permis aux e-mails d'hameçonnage d'atteindre les utilisateurs via Gmail. « Google ne fait rien pour arrêter l'hameçonnage », a-t-il écrit — présentant le verrouillage automatique comme une solution au niveau de la plateforme face à une vulnérabilité en amont que X ne peut pas contrôler directement.

La Commission fédérale du commerce des États-Unis a documenté comment les arnaques crypto sur les réseaux sociaux sont devenues un problème de plusieurs milliards de dollars, les victimes étant souvent incapables de récupérer leurs fonds compte tenu de l'irréversibilité des transferts en chaîne. Cette réalité structurelle est ce qui rend les comptes piratés avec une confiance établie des abonnés si précieux pour les attaquants — et ce que le verrouillage automatique cible directement en coupant le lien entre l'accès au compte et la monétisation immédiate via la promotion crypto.

Limites

Les critiques ont souligné que la mesure n'intervient qu'après qu'un compte a déjà été compromis via l'hameçonnage. Si les fournisseurs de messagerie ne filtrent pas mieux les e-mails d'hameçonnage en amont, la chaîne d'attaque reste intacte. La fonctionnalité pourrait également créer des frictions pour les premières publications crypto légitimes de comptes établis, bien que Bier ait indiqué que le processus de vérification sera bref pour les véritables utilisateurs.

Alors que les pertes plus larges dues aux piratages crypto et à l'hameçonnage se sont améliorées ces derniers mois — février 2026 enregistrant le total mensuel le plus bas depuis mars 2025 — l'exploitation du protocole Drift de 285 millions de dollars cette semaine est un rappel brutal que le risque de gros titres reste élevé. La nouvelle fonctionnalité de X s'attaque à un vecteur d'attaque spécifique et à grand volume au sein d'un écosystème beaucoup plus vaste de fraudes liées aux cryptos.